linux防火墙连接数,Linux管理员应该了解的20条IPTables防火墙规则用法

最新推荐文章于 2024-01-30 01:52:21 发布
最新推荐文章于 2024-01-30 01:52:21 发布
阅读量191 收藏
点赞数
文章标签: linux防火墙连接数

管理网络流量是系统管理员必需处理的最棘手工作之一,我们必需规定连接系统的用户满足防火墙的传入和传出要求,以最大限度保证系统免受攻击。

很多用户把 Linux 中的 IPTables 当成一个防火墙,从严格意见上来说 IPTables 只是能够帮助管理员定义各种规则并与 Linux Kernel 进行沟通的一个命令行工具。它只是帮助管理员配置网络流量的传入、传出规则列表,具体的实现其实是在 Linux 内核当中。

IPTables 包括一组内置和由用户定义规则的「链」,管理员可以在「链」上附加各种数据包处理规则。

FILTER 默认过滤表,内建的链有:

INPUT:处理流入本地的数据包

FORWARD:处理通过系统路由的数据包

OUTPUT:处理本地流出的数据包

NAT 实现网络地址转换的表,内建的链有:

PREROUTING:处理即将接收的数据包

OUTPUT:处理本地产生的数据包

POSTROUTING:处理即将传出的数据包

MANGLE 此表用于改变数据包,共 5 条链:

PREROUTING:处理传入连接

OUTPUT:处理本地生成的数据包

INPUT:处理报文

POSTROUTING:处理即将传出数据包

FORWARD:处理通过本机转发的数据包

接下来我们将由简入难介绍 25 条 Linux 管理员最常会用到的 IPTables 规则。

1、启动、停止和重启IPTables

虽然 IPTables 并不是一项服务,但在 Linux 中还是可以像服务一样对其状态进行管理。

基于SystemD的系统

systemctl start iptables

systemctl stop iptables

systemctl restart iptables

基于SysVinit的系统

/etc/init.d/iptables start

/etc/init.d/iptables stop

/etc/init.d/iptables restart

2、查看IPtables防火墙策略

你可以使用如下命令来查看 IPtables 防火墙策略:

iptables -L -n -v

以上命令应该返回数据下图的输出:

08330f047e20d5d5cced28dc48099255.png

以上命令是查看默认的 FILTER 表,如果你只希望查看特定的表,可以在 -t 参数后跟上要单独查看的表名。例如只查看 NAT 表中的规则,可以使用如下命令:

iptables -t nat -L -v –n

更多iptables相关教程见以下内容:

3、屏蔽某个IP地址

如果你发布有某个 IP 向服务器导入攻击或非正常流量,可以使用如下规则屏蔽其 IP 地址:

iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP

注意需要将上述的 XXX 改成要屏蔽的实际 IP 地址,其中的 -A 参数表示在 INPUT 链的最后追加本条规则。(IPTables 中的规则是从上到下匹配的,一旦匹配成功就不再继续往下匹配)

如果你只想屏蔽 TCP 流量,可以使用 -p 参数的指定协议,例如:

iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx -j DROP

4、解封某个IP地址

要解封对 IP 地址的屏蔽,可以使用如下命令进行删除:

iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP

其中 -D 参数表示从链中删除一条或多条规则。

5、使用IPtables关闭特定端口

很多时候,我们需要阻止某个特定端口的网络连接,可以使用 IPtables 关闭特定端口。

阻止特定的传出连接:

iptables -A OUTPUT -p tcp --dport xxx -j DROP

阻止特定的传入连接:

iptables -A INPUT -p tcp --dport xxx -j ACCEPT

6、使用Multiport控制多端口

使用 multiport 我们可以一次性在单条规则中写入多个端口,例如:

iptables -A INPUT  -p tcp -m multiport --dports 22,80,443 -j ACCEPT

iptables -A OUTPUT -p tcp -m multiport --sports 22,80,443 -j ACCEPT

7、在规则中使用 IP 地址范围

在 IPtables 中 IP 地址范围是可以直接使用 CIDR 进行表示的,例如:

iptables -A OUTPUT -p tcp -d 192.168.100.0/24 --dport 22 -j ACCEPT

8、配置端口转发

有时我们需要将 Linux 服务器的某个服务流量转发到另一端口,此时可以使用如下命令:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j REDIRECT --to-port 2525

上述命令会将所有到达 eth0 网卡 25 端口的流量重定向转发到 2525 端口。

9、屏蔽HTTP服务Flood攻击

有时会有用户在某个服务,例如 HTTP 80 上发起大量连接请求,此时我们可以启用如下规则:

iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/minute --limit-burst 200 -j ACCEPT

上述命令会将连接限制到每分钟 100 个,上限设定为 200。

10、禁止PING

对 Linux 禁 PING 可以使用如下规则屏蔽 ICMP 传入连接:

iptables -A INPUT -p icmp -i eth0 -j DROP

11、允许访问回环网卡

环回访问(127.0.0.1)是比较重要的,建议大家都开放:

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

12、屏蔽指定MAC地址

使用如下规则可以屏蔽指定的 MAC 地址:

iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP

13、限制并发连接数

如果你不希望来自特定端口的过多并发连接,可以使用如下规则:

iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

以上规则限制每客户端不超过 3 个连接。

0b1331709591d260c1c78e86d0c51c18.png

weixin_39808726
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux netstat命令查看并发连接数的方法
01-20
介绍 并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。 实现方法 使用以下命令即可分组查看各种连接状态哦: netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' 解释: 返回结果示例: LAST_ACK 5 (正在等待处理的请求数) SYN_RECV 30 ESTABLISHED 1597 (正常数据传输状态) FIN_WAIT1 51
Linux [ip,防火墙连接数据库]
m0_65651209的博客
03-12 269
学习笔记
Linux 系统防火墙配置与管理
CSDN
01-05 4880
Linux 系统下管理防火墙规则的管理程序有两种,分别是iptables防火墙与firewall防火墙,虽然现在新版系统中早已不在使用Iptables,新版本系统中默认安装firewall管理程序,相比于Iptables更具有灵活性。
IPTables 限制速率,设备数和请求连接数
e5pool的博客
03-12 1824
IPTables 是一个 Linux 内核的防火墙工具,可以用于设置和管理网络规则
Linux永久关闭iptables防火墙的命令
qq_15110085的博客
11-21 4812
2.永久性生效,重启后不会复原。3.即时生效,重启后复原。
Linux如何查看当前有多少IP连接了这台机子.如何查看都谁连接了我
01-11
了解连接信息也有助于调整防火墙规则,例如使用`iptables`或`ufw`控制哪些IP允许或禁止连接。 9. **安全监控:** 在生产环境中,结合`fail2ban`等工具可以自动识别并阻止恶意IP,保护系统免受攻击。 总之,Linux...
基于Linux防火墙技术研究
11-24
余青霞,周钢译.Linux防火墙[M].北京:人民邮电出版社,2000.10 [6] 黄允聪,严望佳,防火墙的选型、配置、安装和维护[M].北京:清华大学出版社,1999.45~108 [7] 原箐,卿斯汉.基于安全数据结构的防火墙[J]计算机科学,...
Linux主机防CC攻击的方法.pdf
09-06
Linux 主机防 CC 攻击的方法中,还可以使用其他防火墙规则和参数,例如使用“-m state”参数来跟踪客户端的连接状态,使用“-m multiport”参数来限制多个端口的访问,等等。通过组合使用这些参数,可以创建一个...
linux开启telnet服务方法
07-13
添加一允许TCP端口23(telnet的默认端口)的新输入规则,如`-A INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT`,然后重启防火墙服务,使用`service iptables restart`。 在Windows系统中,可以...
ftp_server.rar_FTP SERVER_ftp linux
09-22
5. **防火墙配置**:为了确保FTP服务对外可用,可能需要在Linux防火墙(如iptables或firewalld)中打开FTP所需的端口(默认为20和21)。 6. **SSL/TLS加密**:为了增强FTP服务的安全性,可以启用FTPS(FTP over TLS...
Linux 系统下关闭防火墙
z09364517158的博客
03-29 808
iptableslinux下一款强大的防火墙,在不考虑效率的情况下,功能强大到足可以替代大多数硬件防火墙,但是强大的防火墙如果应用不当,可能挡住的可不光是那些潜在的攻击,还有可能是你自己哦。这个带来的危害对于普通的个人PC来说可能无关紧要,但是想象一下,如果这是一台服务器,一旦发生这样的情况,不光是影院正常的服务,还需要到现场去恢复,这会给你带来多少损失呢?除此之外,要用好iptables,那就要理解iptables的运行原理,知道对于每一个数据包iptables是怎么样来处理的。执行开启和关闭操作。
【docker】Docker网络与iptables
热门推荐
morris
11-18 3万+
Docker能为我们提供很强大和灵活的网络能力,很大程度上要归功于与iptables的结合。在使用时,你可能没有太关注到 iptables在其中产生的作用,这是因为Docker已经帮我们自动的完成了相关的配置。iptables在Docker中的应用主要是用于网络流量控制和安全控制。可以使用iptables规则来限制Docker容器的网络访问,以及将外部流量重定向到Docker容器。docker的daemon进程有个--iptables的参数,可以使用它来控制是否要自动启用iptables
linux防火墙命令firewall、iptable以及端口号等详解诠释(全)
码农研究僧的博客
09-09 8740
一、防火墙的开启、关闭、禁用命令 (1)设置开机启用防火墙:systemctl enable firewalld.service (2)设置开机禁用防火墙:systemctl disable firewalld.service (3)启动防火墙:systemctl start firewalld (4)关闭防火墙:systemctl stop firewalld (5)检查防火墙状态:systemctl status firewalld 二、使用firewall-cmd配置端口 (1)查看防火墙状态:fir
iptables的启动和关闭
netlayer123的专栏
05-07 3805
iptables的启动和关闭: 1.启动和关闭iptables 下面将正式使用iptables来创建防火墙。启动和关闭iptables的方法取决于所使用的Linux发行版,可以先查看所使用Linux版本的文档。 一般情况下,iptables已经包含在Linux发行版中,运行iptables --version来查看系统是否安装了iptables。在Red Hat 9.0中,安装的
linux如何关闭防火墙
最新发布
高性价比服务器就选:蓝易云
01-30 663
记住,关闭防火墙可能会降低系统安全性,请在真正需要的情况下关闭,并确保你在网络环境中采取其他安全措施。如果你使用的是iptables,可以使用以下命令清除规则并禁用防火墙。如果你使用的是firewalld,可以使用以下命令关闭防火墙服务。使用以下命令检查防火墙状态,确保你需要关闭的是哪个防火墙。防止防火墙在系统重启后自动启动。
Linuxiptables关闭(ssh)端口22
Android系统攻城狮
10-31 5855
【代码】Linuxiptables关闭(ssh)端口22。
Linux关闭防火墙-iptables|iptable.service could not be found
测试入门、进阶、测试管理、面试、职场
03-16 4281
大家好,我是「Bigder」、今天说一个有意思的命令。查看防火墙当前状态是启动、还是关闭的。刚毕业没多久的时候,曾经因为这个防火墙的问题、我们在客户现场演示出了洋相。服务已经部署到了客户的机房且运行是正常的、机房内网都是能正常访问的。可是在会议室演示的时候首页能打开、但是登陆却进不去、没有响应。事后定位是服务部署的Linux默认启动了防火墙,没有关闭、以至于服务不能访问。后来、这个命令就印在脑袋瓜了。动手学学看吧~~1、使用命令「service iptable status」查看当前防火墙状态、Redire
关闭防火墙iptables
weixin_34062469的博客
08-08 1万+
关闭防火墙iptables1.临时关闭iptables/etc/init.d/iptables stopiptables: Setting chains to policy ACCEPT:filter [ OK ]iptables: Flushing firewall rules: [ OK ]ipta...
LINUX:如何关闭iptables
charles的博客
04-11 1万+
1) 重启后生效 开启: chkconfig iptables on 关闭: chkconfig iptables off 2) 即时生效,重启后失效 开启: service iptables start 关闭: service iptables stop 需要说明的是对于Linux下的其它服务都可以用以上命令执行开启和关闭操作。 在开启了防火墙时,做如下设置,开启相关端口, 修改/etc/sys
LinuxIptables使用资料(整理).docx
12-16
LinuxIptables使用资料(整理)详细介绍了Linux系统中重要的网络包过滤和防火墙管理工具——iptablesIptables是内置于现代Linux内核中的一个模块,它作为netfilter的一部分,提供了功能强大的包过滤和网络访问控制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值